Vulnerabilidad en los comandos IMAP LIST en Apache James (CVE-2021-40110)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
04/01/2022
Última modificación:
12/01/2022
Descripción
En Apache James, usando Jazzer fuzzer, identificamos que un usuario de IMAP puede diseñar comandos IMAP LIST para orquestar una denegación de servicio usando una expresión regular vulnerable. Esto afectaba a Apache James versiones anteriores a 3.6.1. Recomendamos actualizar a Apache James versión 3.6.1 o superior, que refuerza el uso del motor de expresiones regulares RE2J para ejecutar regex en tiempo lineal sin retroceso
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:apache:james:*:*:*:*:*:*:*:* | 3.6.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página